Sebastián Thüer

Comunicación, diseño y tecnología

WordPress

Llegan las actualizaciones automáticas con WordPress 3.7

· ·

wordpress-thumbA simple vista, no hay demasiadas novedades en la nueva versión de WordPress 3.7 de la que no se esperaba demasiado. Sin embargo, las verdaderas mejoras están aunque no las vemos.

¿De qué se trata? Fundamentalmente, de una considerable mejora en el sistema de actualizaciones. Si hace mucho que utilizas WordPress (y tuviste problemas con servicios de hosting mediocres) alguna vez te habrá pasado de que tu sitio quedó fuera de servicio porque algo falló a mitad de camino en una actualización. Esto, en teoría, es cosa del pasado.

La nueva versión de WordPress 3.7 «Basie» (en honor al pianista y compositor Count Basie) rediseñó su sistema de actualizaciones con muchos más controles y mejoras en el proceso de transferencia e instalación de los archivos. Además, incluye un revolucionario sistema de actualizaciones en segundo plano que va a cambiar el modo de gestionar un sitio en WordPress.

Es que hasta ahora, quienes adminsitraban varios sitios en WordPress para diferentes empresas o clientes tenían que ir a cada uno de ellos y buscar la opción de actualización para aplicar los nuevos cambios. Si bien existen alternativas de pago (WP Remote) para monitorear y actualizar gran cantidad de sitios web desde un solo lugar, la actualización automática es ahora una función nativa de WordPress con todas las ventajas y seguridades que brinda su implementación a través de un sistema de código abierto.

¿Qué más hay de nuevo? Mejores recomendaciones para claves seguras en una instalación limpia de WordPress, un mejor soporte para las versiones internacionales de WordPress y, lo más visible, un nuevo sistema de búsqueda donde los resultados se ordenan por jerarquía en lugar de fecha. 

Por último, también hay optimizaciones en la consulta a la base de datos, fundamentalmente en el acceso a los datos en las instalaciones con múltiples sitios web. Entonces, no hay muchas excusas: a descargar WordPress 3.7

 

WordPress 3.6.1: Actualización de seguridad

· ·

Acaba de salir la actualización de seguridad WordPress 3.6.1 que corrige 13 vulnerabilidades detectadas desde el lanzamiento de WordPress 3.6. La actualización es imprescindible ya que soluciona varios fallos de seguridad vinculados con la ejecución remota de código, link injection y posibilidad de que un autor pudiera alterar un sistema para que el artículo apareciera escrito por otro. También se bloquearon por defecto la subida de archivos SWF y EXE para evitar cross-site scripting.

La nueva actualización no afecta las traducciones a otros idiomas. Como siempre, la opción recomendable es actualizar a través del dashboard de WordPress. Si no es posible, se puede descargar el archivo comprimido y actualizar los siguientes archivos.

wp-admin/about.php
wp-admin/nav-menus.php
wp-admin/includes/post.php
wp-admin/includes/update-core.php
wp-admin/includes/template.php
wp-admin/network/upgrade.php
wp-admin/js/common.js
wp-includes/pluggable.php
wp-includes/comment-template.php
wp-includes/post-template.php
wp-includes/version.php
wp-includes/theme.php
wp-includes/functions.php
wp-includes/ms-functions.php
wp-includes/link-template.php
wp-includes/class-http.php
wp-includes/js/jquery/jquery.js
wp-includes/js/tinymce/plugins/wordpress/editor_plugin.js
wp-includes/js/tinymce/plugins/wordpress/editor_plugin_src.js
wp-includes/js/tinymce/wp-tinymce.js.gz

WordPress 3.6 «Oscar»

[wpvideo UmhwbWJH]

WordPress cumple 10

· ·

wordpress-thumbEs CMS más utilizado en el mundo. Se calcula que hay 60 millones de sitios de todo el mundo que lo emplean. Como en sus inicios, sigue siendo gratis (y de código abierto). Hablamos de WordPress, originalmente una plataforma de blogs que ha evolucionado hacia un verdadero gestor de contenidos. Y hoy cumple 10 años.

Allá por el 2001 Matt Mullenweg y Mike Little tomaron el sistema de blogs B2/Cafelog y sobre su base crearon una versión propia (fork). Un par de años más tarde ya tenían lista su propia herramienta. En mayo de 2003 WordPress 0.7 vio la luz introduciendo novedades que hoy son comunes en cualquier sistema web pero que por entonces eran una auténtica revolución: interfaz de administración simplificada, templates, plugins, gestión de enlaces y, lo más importante, todo bajo una filosofía de manejo simple que permitió a muchos a iniciarse en el mundo de las aplicaciones web sin necesidad de ser un experto.

Hoy WordPress va por su versión 3.6, sigue sumando usuarios y hay celebraciones en todo el mundo para su aniversario. Y, por supuesto, tiene su propia sección en este blog.

Como blindar tu WordPress: 10 Consejos prácticos

· ·

Uno de cada 10 sitios web del mundo usa WordPress. Lo que se dice, una banquete bastante apetecible para quienes se dedican a inundar de virus y programas malignos la red. Tiempo atrás publicaba en el blog una serie de consejos básicos de seguridad en WordPress para quien tuviera un sitio que corriera sobre este CMS.

En esta ocasión, he tratado de sistematizar y organizar algunas prácticas para incrementar la seguridad de una instalación en WordPress que van un poco más allá del «elegir una contraseña segura». Antes de hacer cualquier desastre conviene probar estos consejos con una instalación de prueba de WordPress para asegurarse que todo sale bien. Si bien no hay que ser un especialista en seguridad, vamos a tocar algunos archivos y configuraciones que podrían dejar nuestra web fuera de servicio si hacemos algo mal. Algo importante: siempre hacer las pruebas calcando la configuración de nuestro hosting y, de ser posible, en otro sitio de pruebas configurado en el mismo servidor.

Para quienes buscan blindar su sitio en WordPress, aquí van algunos consejos y trucos para incrementar la seguridad

1. Quitar el usuario admin

Hasta hace poco tiempo las instalaciones de WordPress creaban por defecto el usuario ‘admin’ para el administrador. Con eso, el atacante tenía resuelto el 50% de su problema: solo le queda conocer la clave. Si tu instalación de WordPress tiene tiempo es probable que tengas este usuario que, además, no se puede modificar desde la configuración de WordPress. Hay que hacerlo directamente desde la base de datos.

Con un gestor tipo phpMyAdmin es bastante sencillo. Se hace con el siguiente código (reemplazar ‘nuevousuario’ con el nombre deseado):

update tableprefix_users set user_login='nuevousuario' where user_login='admin';

2. Cambiar el prefijo de la base de datos

La configuración inicial de WordPress agrega el prefijo «wp_» a las tablas de la base de datos. El problema es que si algún día se descubre una vulnerabilidad sería bastante fácil para el atacante adivinar cuáles son las tables presentes en la base de datos si no modificamos este valor. Hacerlo es bastante sencillo: solo hay que abrir el archivo de configuración wp-config.php y modificar el valor presente por uno nuevo:

$table_prefix = 'nuevoprefijo_';

3. Menos detalles de error al fallar el login

La página de login en WordPress brinda demasiada información si uno no ingresa bien la clave. Por ejemplo, asvisa si el error se debe a que el usuario no existe o la clave no corresponde. Para evitar que WordPress revele estos datos basta con agregar un par de líneas al archivo function.php del theme que tenemos activo:

function explain_less_login_issues(){ return 'ERROR: Los datos ingresados son incorrectos.';}
add_filter( 'login_errors', 'explain_less_login_issues' );

4. No dejar directorios navegables

Un ABC de las medidas de seguridad es no dejar un directorio navegable porque el atacante puede conocer la estructura del sitio y ver los archivos. Esto suele se maneja directamente en la configuración del servidor pero hay algo que podemos hacer desde WordPress: poner un archivo index.php vacío en cada directorio vacío.

Por defecto WordPress lo hace pero se le ha olvidado uno: donde se suben los archivos. La solución es simple: crear con cualquier editor de texto un archivo vacío, nombrarlo como index.php y subirlo a wp-content/uploads

 5. Mover wp-config 

El archivo más sensible de toda instalación de WordPress es wp-config.php. Tiene la información para conectarse  a la base de datos y cualquiera que acceda a esta información está en condiciones de tomar el control de la web. Lo mejor es moverlo  a una ubicación más segura como puede ser un nivel superior a la raíz del sitio (por encima de la carpeta public_html o www).

Para no tocar el corazón de WordPress -y con ello tener que temer por cada actualización- lo más práctico es hacer un include desde el archivo en cuestión. Es decir, en el wp-config agregar una línea con algo así (cambiar por la ruta propia de cada servidor):

include ('/home/user/config.php');

Y en config.php ponemos todos los datos de conexión como usuario, contraseña y demás.

6. Deshabilitar editor de archivos

WordPress incluye un editor de archivos muy práctico para modificar los archivos del tema. Pero no se trata de una práctica segura por lo cual lo mejor para cambiar algo es ingresar vía FTP, descargar el archivo en cuestión, editarlo y volverlo a subir. Se puede deshabilitar el editor de archivos para evitar manos extrañas de una forma muy sencilla. Hay que añadir esta línea a wp-config.php

define('DISALLOW_FILE_EDIT', true);

7. Quitar versión de WordPress

Punto controvertido. Veamos: Todas las instalaciones de WordPress muestran su número de versión con fines «estadísticos». El problema es que si el sitio queda desactualizado ese número es casi una invitación a atacar el sitio. Sin embargo, los críticos dicen que de nada vale esconder el número de versión si la instalación de WordPress sigue teniendo agujeros por todas partes.

En fin, esconder la versión no sirve de nada si no se toman medidas de seguridad adicionales. Pero si nos interesa desviar la atención de curiosos hay que abrir el archivo functions.php del tema o escribir esto:

function no_generator() { return ''; }
add_filter( 'the_generator', 'no_generator' );

8.Remover archivos innecesarios

Luego instalar WordPress quedan un par de archivos con información sensible: readme.html y wp-admin/install.php. El primero muestra la versión de WordPress que estamos corriendo mientras que el segundo permite instalar el sistema. Mejor borrarlos.

9. Bloquear pedidos de url maliciosas

Un clásico de estas épocas en ataques a web es realizar peticiones desde páginas web maliciosas. El plugin Block Bad Queries se encarga de bloquear cualquier pedido extraño.

10. Permisos de archivos

En los equipos de escritorio no solemos prestar atención a los permismos de archivo pero un servidor es un aspecto de seguridad clave. Esto permite establecer quién puede leer, modificar o eliminar un archivo. La regla general es otorgar el mínimo de permisos posible para evitar que un usuario indeseado puede manipular datos sensible. Algunos consejos del WordPress Codex:

  • wp-config.php con permisos 400 o 440.
  • .htaccess con permisos 644 o 664.

Tip: ¿Cómo cambiar permisos de archivo vía FTP?

Llega WordPress 3.5 con gestión mejorada de archivos multimedia

· ·

Mejor gestión de los archivos multimedia, nuevo tema por defecto, optimización para dispositivos de alta resolución y accesibilidad mejorada. El nuevo WordPress 3.5 «Elvin» ya está disponible con importantes mejoras. Veamos.

 Nueva gestión de archivos multimedia en WordPress 3.5

La estrella de esta actualización es un rediseño total de la gestión de archivos multimedia. La nueva interface permite un acceso mucho más fácil al los archivos, simplifica su gestión y permite crear galerías con bastante facilidad. Además, la gestión de metadatos -nombre y descripción de una imagen, por ejemplo- ahora es más sencilla porque basta seleccionar un archivo para ver inmediatamente sus propiedades. Puede que tome un poquito de tiempo acosumbrarse al cambio, pero vale la pena.

Captura pantalla nuevo tema Twenty Twelve

Además, hay un nuevo tema por defecto –Twenty Twelve– que a diferencia de sus  antecesores es un buen punto de partida por ser simple y elegante a la vez. Está optimizado para asegurar una adecuada visualización en diferentes  soportes (diseño web adaptativo) e incluye algunos tipo de letra Open Sans.

¿Que más? El escritorio o dashboard tiene un aspecto mejorado para asegurarse que se vea bien en pantallas de alta definición (una Mac con retina display, por ejemplo) y hay varias novedades para desarrolladores como mejoras en la API, mejoras en la gestión multisitio, actualización del editor TinyMCE junto con nuevas librerías javascript como Underscore y Backbone.

Como siempre, WordPress está disponible en la página de descarga. La versión en español también está lista para descargar.